Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Størrelse: px

Starte visningen fra side:

Download "Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)"

Thor Andresen
6 år siden
Visninger:

Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for

1 Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com

Om Neupart ISO 27001 certificeret virksomhed.

it- risikovurdering og enklere efterlevelse af deres it- sikkerhedskrav Leverer SecureConsult, som er

2 Om Neupart ISO certificeret virksomhed. Udvikler og sælger SecureAware, en komplet og effektiv ISMS- løsning, som hjælper virksomheder med it- risikovurdering og enklere efterlevelse af deres it- sikkerhedskrav Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it- sikkerhedskonsulenter. Mere end 200+ kunder i mange brancher og størrelser ISMS = Styringssystem for informationssikkerhed

3 Program Baggrund Danmark og Norge Hvad er ISO 27001? (i versionen) Hvad er taget i brug i Danske kommuner? Sådan er standarden implementeret 4 forslag,l hvad I kan gøre i Norge

Kommunerne Kommunernes Landsforening anbefaler alle kommuner at anvende ISO- standarden [27001] med henblik på at

5 Danmark Staten I Danmark har regeringens økonomiudvalg truffet beslutning om, at statens ins,tu,oner skal følge ISO standarden. Kommunerne Kommunernes Landsforening anbefaler alle kommuner at anvende ISO- standarden [27001] med henblik på at få en fælles, høj sikkerhedsstandard i den offentlige sektor h<p:// og- standarder h<p://kl.dk/fagomrader/administra,on- og- digitalisering/ Informa,onshandtering/Informa,onssikkerhed/

Udvalgte ISO 2700x- standarder ISO 27000 ISO27001 ISO27002 ISO

Systems Requirements Code of prac,ce for informa,on security

Security Management - Measurement ISO27005 Informa,on Security

6 Udvalgte ISO 2700x- standarder ISO ISO27001 ISO27002 ISO Overview and vocabulary Informa,on Security Management Systems Requirements Code of prac,ce for informa,on security management ISMS Implementa,on Guidelines ISO Informa,on Security Management - Measurement ISO27005 Informa,on Security Risk Management ISO27006 Requirements for bodies providing audit and cer,fica,on

7 I skal vurdere risiko Krav til proces: 1. Kriterier for risiko, også for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent proces, der sikrer sammenlignelige og korrekte resultater (afsnit 6.1 )

8 I skal have en proces for risikohåndtering

9 Eksempel på risikohåndtering Accepter Reducér Del Undgå Risk Treatment = Risikohåndtering Valgmuligheder ISO ISO 27001:2013 kræver ikke de 4 former. Men krav, at der er en proces. I kan fx vælge disse 4,l jeres proces.

10 Performance Evaluation ISMS målinger Hvad, hvordan, hvornår, hvem. Resultater: Hvem gennemgår og hvor ofte Intern Audit Compliance & Effektivitet Planlægning, udførelse & opfølgning

11 Hvad skete der lige med PDCA? Der er krav continual improvement. Plan - Do Check Act kan vælges til at opnå dette. Se også indholdsfortegnelsen

Erfaringer fra Danmark Undersøgelse af ISO 27001 i danske kommuner udført af Neupart A/S I maj-

12 Erfaringer fra Danmark Undersøgelse af ISO i danske kommuner udført af Neupart A/S I maj- juni af 98 kommuner deltog Deltagere var inviteret fra Neupart s kontakter Foreløbige data

Hvor langt er I kommet indenfor disse ISO 27001 områder?

Lederskab og ledelses engagement? Poli,k? Roller, ansvar og beføjelser?

Awareness? Kommunika,onsplan? ISMS- dokumentstyring?

15 Hvor langt er I kommet indenfor disse ISO områder? Har I et ISMS der vedligeholdes? Kender i sikkerhedskrav? Scope? Lederskab og ledelses engagement? Poli,k? Roller, ansvar og beføjelser? Risikovurdering? Risikohåndtering? Mål? Ressource-,ldeling? Kompetencer? Awareness? Kommunika,onsplan? ISMS- dokumentstyring? Statement of Applicability ("SoA")? KPI'er / metrikker? Intern Audit? Ledelsens ISMS review? Håndtering af afvigelser? Løbende forbedringer af ISMS?

Status på implementering Løbende forbedringer af ISMS?

KPI'er / metrikker? Statement of Applicability ("SoA")?

Ressource-,ldeling? Mål? Risikohåndtering? Risikovurdering?

Lederskab og ledelses engagement? Scope? Kender i sikkerhedskrav?

16 Status på implementering Løbende forbedringer af ISMS? Håndtering af afvigelser? Ledelsens ISMS review? Intern Audit? KPI'er / metrikker? Statement of Applicability ("SoA")? ISMS- dokumentstyring? Kommunika,onsplan? Awareness? Kompetencer? Ressource-,ldeling? Mål? Risikohåndtering? Risikovurdering? Roller, ansvar og beføjelser? Poli,k? Lederskab og ledelses engagement? Scope? Kender i sikkerhedskrav? Har I et ISMS der vedligeholdes? 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Fuldt implementeret Delvist implementeret Planlagt Ikke begyndt

17 Hvordan? Office pakke Konsulenter Værktøj

18 Kommunernes udfordringer

19 Valid from Valid until DS certified since This is to certify the Management System Valid that of from Certificate No Neupart A/S Hollandsvej Kongens Lyngby Valid until DS certified since ISO Certificerings- erfaringer Certificate The scope of the certificate is Solutions and services for information security management in accordance with the Statement of Applicability, dated fulfils the requirements in ISO/IEC 27001:2005 Niels Falk Managing director DS Certificering A/S Kollegievej 6 DK 2920 Charlottenlund Denmark The English text of the certificate is considered to be legally binding in case of doubt with regard to the correctness of the translation Page 1 of 1

20 Den største ISMS fælde? Neuparts fejl: ISMS voksede over 10 år. For stort & for meget For tungt at vedligeholde For svært at efterleve Hindrede vores forretning i stedet for at understøtte den

4 gode steder at starte Risk SoA Poli,k Ledelse Evaluer risiko- metode Risiko- håndtering er centralt Husk opportuni,es Neupart Webinar og whitepaper Beskriv jeres sikrings,ltag Begrund,lvalg og

21 4 gode steder at starte Risk SoA Poli,k Ledelse Evaluer risiko- metode Risiko- håndtering er centralt Husk opportuni,es Neupart Webinar og whitepaper Beskriv jeres sikrings,ltag Begrund,lvalg og fravalg (annex A) Husk sammenhæng med risiko- håndtering Dynamisk gap- analyse Neupart Webinar Poli,k for informa,onssikkerhed Anbefaler 3- delt struktur m. poli,k / regler / procedurer Ledelsen skal være engageret! Sæt mål KPI er Intern kontrol ISMS skal køre godt og forbedres og vedligeholdes

Lær mere om ISO 27001 og ISMS- værktøj Webinar:

juli med rabatkode: KINS- ISMS. Værdi Kr.

22 Lær mere om ISO og ISMS- værktøj Webinar: Introduktion til ISO ISMS 24. juni 2014 kl. 11 til Gratis Webinar: Hands- on gennemgang af SecureAware værktøj 26. juni 2014 kl. 11 til Gratis Kursus: Styringssystem for informasjonssikkerhet 25. september 2014 kl til 16.30, Oslo Tilmeld dig inden 31. juli med rabatkode: KINS- ISMS. Værdi Kr Værktøj: SecureAware ISMS ISO Policy & Compliance, Risikovurderinger, Risikohåndtering, Beredskabsplaner Virker øjeblikkelig, nem at tage i brug, gra,s prøveperiode Tilmelding på

23 Er ISO vanskeligt? Nej og ja. Det amænger af jeres ambitions- niveau, jeres værktøjer, kompetancer, jeres erfarings- udveksling Vær pragmatisk og kun lidt ambitiøs

24 INFORMATION SECURITY MANAGEMENT Besøg vores lille bord i foyer J Hils på Esben Mogensen og mig. Få svar på spørgmålet i konkurrencen

Relaterede dokumenter

serien og nyheder i ISO og ISO 27002

serien og nyheder i ISO og ISO 27002 27000- serien og nyheder i ISO 27001 og ISO 27002 Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor Om Neupart ISO 27001 certificeret virksomhed. Udvikler og sælger SecureAware, en